JSON은 웹 브라우저와 서버 간 데이터 교환에 주로 사용된다.
난이도 하
페이지 입력 폼에 아무 값이나 입력하고 소스코드를 본다.
asd 가 스크립트 문 안에 들어간다. 여기서 새로운 스크립트 문을 실행하기 위해서는 기존의 스크립트 문을 닫고 새로운 스크립트 문을 작성하면 된다.
</script><script>alert("hi")</script><script>
XSS 성공
난이도 중 상
난이도 중 상 에서는 htmlspecialchars() 함수를 통하여 입력값을 필터링 하고 있다.
대응방안
htmlspecialchars() 함수 사용
'Web hacking > bee-box' 카테고리의 다른 글
| [Bee-box] XSS - Reflected (AJAX/JSON) (0) | 2023.12.19 |
|---|---|
| [Bee-box] XSS - Reflected (POST) (0) | 2023.12.19 |
| [Bee-box] XSS - Reflected(GET) (1) | 2023.12.19 |
| [Bee-Box] Blind SQL injection - Time Based (0) | 2023.12.08 |
| [Bee box] Blind SQL injection (0) | 2023.12.07 |
